Vorwort
Die Nutzung der e-Vergabe-Plattform des Beschaffungsamtes des BMI ist mit Staatssekretärsbeschluss vom März 2015 für alle Behörden der unmittelbaren Bundesverwaltung verpflichtend geworden.
Darüber hinaus dürfen die Behörden der mittelbaren Bundesverwaltung ebenfalls die e-Vergabe Plattform nutzen. Landes- und Kommunalbehörden die zu dem Zeitpunkt des Staatssekretärsbeschluss noch nicht als Nutzer auf der Plattform eingerichtet waren, können nicht neu angeschlossen werden.
Die Registrierung von Vergabestellen zur Teilnahme an der e-Vergabe, wird vom Beschaffungsamt des BMI vorgenommen. Dabei werden Sie als eigenständiger Mandant auf der Plattform eingerichtet und können somit unabhängig von uns Verfahren veröffentlichen und mit Bietern kommunizieren. Die Registrierung erfolgt in der Regel zeitgleich mit einer zweitägigen Schulung. Ein Schulungssystem kann ebenfalls genutzt werden. Bitte beachten Sie, dass Sie zu diesem Zeitpunkt im Besitz von qualifizierten Signaturkarten oder unterstützten fortgeschrittenen Signaturkzertifikaten sind.
Nutzung des Online-Beschaffungs-Assistenten (OBA):
1 Einleitung
Nachfolgend werden die Voraussetzungen zur Nutzung der e-Vergabe für Organisationen der öffentlichen Hand erläutert. Dazu zählen die organisatorischen, wie auch die technischen Voraussetzungen, d.h. die Ausstattung von Arbeitsplatzrechnern der Mitarbeiter und die benötigte Hard- und Software
2 Organisatorische Voraussetzungen
2.1 Vorbedingungen
Zur Nutzung der e-Vergabe Anwendungen sind mehrere Personen erforderlich. Insbesondere erfolgt die Öffnung der elektronischen Angebote im Vier-Augen Prinzip. Vor der Registrierung an der Vergabeplattform muss in der Organisation geklärt werden, wie viele Personen mit der Plattform arbeiten, wie viele Angebotsöffner es gibt und welche Signaturform (datei- oder kartenbasierte Signatur) eingesetzt werden soll. Jeder Benutzer benötigt ein Signaturzertifikat.
2.2 Barrierefreiheit
Im Rahmen der Verordnung zur Schaffung barrierefreier Informationstechnik nach dem Behindertengleichstellungsgesetz (Barrierefreie-Informationstechnik-Verordnung - BITV 2.0) müssen Anforderungen an Barrierefreiheit auf der e-Vergabe umgesetzt werden. Dies gilt auch für die von Vergabestellen zur Verfügung gestellten Inhalte und Dokumente, für deren Barrierefreiheit sich die jeweilige Vergabestelle selbst verantwortlich zeichnet.
2.3 Datenschutz
Der Schutz von Daten, die im Rahmen der e-Vergabe lokal beim Nutzer verarbeitet werden obliegt der Verantwortung des jeweiligen Nutzers. Für Vorschläge zur Ergreifung von entsprechenden Schutzmaßnahmen sehen Sie bitte im Folgenden: „5. Sicherheitshinweise“
3 Technische Voraussetzungen
3.1 Internetanschluss
Die Anbindung an das System e-Vergabe erfolgt über das Internet. Es werden die beiden Standardprotokolle HTTP und HTTPS (TLS 1.2) verwendet.
Zusätzlich sollten Sie dafür Sorge tragen, dass bei Ihnen https://download.evergabe-online.de, https://www.evergabe-online.de und Port: 443 in Firewalls und Proxys freigegeben sind.
Die e-Vergabe prüft das zur Verschlüsselung der Übertragung genutzte Zertifikat. Sollten Sie z.B. eine Proxy-Lösung nutzen, die das Zertifikat austauscht, müssen Sie für die e-Vergabe eine Ausnahme einrichten.
Bitte beachten Sie, dass abhängig vom Umfang der Verfahren sowie von der Bandbreite Ihres Internetanschlusses das Hochladen von Dokumenten unterschiedlich lange dauern kann.
3.2 Arbeitsplatzrechner der Mitarbeiter unter Windows
Die Anwendungen der e-Vergabe sind für die Installation und Nutzung auf einem FatClient getestet und optimiert. Die Funktionsfähigkeit der e-Vergabe Clients bei Nutzung z.B. im Rahmen von Terminalserverlösungen können wir nicht sicherstellen. Wir empfehlen daher ausdrücklich die Nutzung einer lokalen Installation auf einem Einzelarbeitsplatzrechner. Speichern Sie verwendete Daten und Unterlagen, vor Verwendung mit den Anwendungen der e-Vergabe, lokal ab.
Der Rechner des Mitarbeiters soll darauf ausgelegt sein, Verfahren in der e-Vergabe anzulegen, Dokumente hochzuladen, Angebote und Teilnahmeanträge zu öffnen, mit den beteiligten Firmen zu kommunizieren und Signaturen setzen zu können.
3.3 Hardware:
Mindestens 2 GB Arbeitsspeicher
Mindestens 1 GB freier Festplattenspeicher für die Clientinstallation (für die Ablage der lokalen Daten des Verfahrens (Vergabeunterlagen etc.) wird entsprechend mehr Speicher benötigt)
3.4 Unterstützte Betriebssysteme:
Windows (10 und 11)
3.5 Software:
Die erforderliche Software wird in Form von einzelnen Installern (EXE Dateien) bereitgestellt. Die Anwendungen basieren auf einer Java Laufzeitumgebung die bei erster Installation einer e-Vergabe Anwendung automatisch heruntergeladen und installiert wird. Hierfür wird standardmäßig das e-Vergabe-Verzeichnis in Ihrem Benutzerordner verwendet.
Um die Erfassungsmaske für die Oberschwelle abzubilden greift der Online Beschaffungs-Assistent und der Stand Alone Editor für Bekanntmachung auf die Komponente JxBrowser zurück. Die Komponente wird bei Installation der Clients automatisch heruntergeladen und installiert. Zur Ablage wird das jeweilige Installationsverzeichnis des Clients verwendet.
In Abhängigkeit von Ihrer IT-Umgebung ist es mitunter notwendig, dass ein Administrator bzw. Ihr IT-Dienstleister die Installation vornimmt.
Die Anwendungen prüfen bei jedem Start, ob sie aktuell sind. Ist dies nicht der Fall, erfolgt eine Aktualisierung. Dies erfolgt durch den Download eines aktualisierten Installers ( EXE Dateien). Aktualisierungen erfolgen regelmäßig (ca. alle vier Wochen) und sind verpflichtend im die Kommunikation zwischen den Client-Anwendungen und dem e-Vergabe Server zu gewährleisten.
Die Web-Server der e-Vergabe unterstützen nur das Verschlüsselungsprotokoll TLS 1.2.
4 Signaturkomponenten
Die e-Vergabe unterstützt qualifizierte Signaturen mit Kartenlesegerät und folgende dateibasierte fortgeschrittene Signaturen.
Neuer Personalausweis (nPA): Der neue Personalausweis kann nur für die Signatur genutzt werden, jedoch wird beim OBA, OEFA und VST-Admin die Anmeldefunktion per fortgeschrittener Signatur gefordert. Diese Funktion unterstützt der neue Personalausweis leider nicht und kann deshalb zur Anmeldung nicht verwendet werden.
5 Sicherheitshinweise
Die über die e-Vergabe-Plattform abgewickelten Vergabeverfahren haben für alle Beteiligten einen hohen Wert. Aus diesem Grund wird auf die sichere Entwicklung der verschiedenen Plattformkomponenten (Server und Clients) und deren sicherer Betrieb besonderer Wert gelegt. Während der sichere Betrieb der zentralen Server-Komponenten durch eine Vielzahl von Sicherheitsmaßnahmen auch im Rechenzentrum gewährleistet werden kann, muss der sichere Betrieb der Clients im Wesentlichen durch die Anwender selbst bzw. deren IT-Abteilungen sichergestellt werden. Das Beschaffungsamt des Bundesministeriums des Innern unterstützt die e-Vergabe-Anwender, indem es Clients für die Plattform bereitstellt, die nicht nur durch deren Entwicklung ein hohes Sicherheitsniveau aufweisen, sondern deren Authentizität und Integrität vom Anwender überprüft werden kann. Der Anwender kann sich also immer sicher sein, dass er die richtige Software verwendet.
Die Bereitstellung einer sicheren Client-Anwendung kann aber immer nur ein Teil eines sicheren Nutzungsszenarios sein. Mindestens genauso wichtig ist, die Anwendungen auf sicher konfigurierten Computern zu betreiben. Dieses Dokument soll dabei helfen, diese Voraussetzung zu schaffen.
Im ersten Teil werden eher allgemeine Hinweise zur Sicherheit Ihres Computers gegeben. Dabei wird auch auf weiterführende Literatur z. B. des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verwiesen. Der zweite Teil dieses Dokuments beschäftigt sich konkret mit Sicherheitsmaßnahmen im Kontext der e-Vergabe-Clients.
5.1 Allgemeine Sicherheitsmaßnahmen
Auch wenn eine Software im Hinblick auf größtmögliche Sicherheit entwickelt wurde, kann sie keine Sicherheit garantieren, wenn der Computer von Schadcode befallen ist, auf dem sie ausgeführt wird. So können beispielsweise auf einem befallenen Computer Tastatureingaben wie Benutzernamen und Passworte abgefangen und per Internet an den Angreifer übermittelt werden. Auf diese Weise können ggf. auch vertrauliche Dokumente an einen Angreifer fallen und von diesem Missbraucht werden. Auch die Manipulation von Kartenlesern für den Smartcard-Einsatz kann von einem entfernten Angreifer durchgeführt werden.
Auch unabhängig von der Nutzung der e-Vergabe-Clients liegt es also im Interesse des Anwenders, seinen Computer vor Angriffen zu schützen. Im Folgenden werden Hinweise auf eine solche Absicherung gegeben. Sie stellen aber keine vollständige Auflistung notwendiger Sicherheitsmaßnahmen dar, sondern dienen eher dem Einstieg in die Absicherung des Computers.
Da Informationstechnik und insbesondere die Sicherheit in der Informationstechnik häufig als komplizierte Themenbereiche gesehen werden und daher die Beschäftigung damit gerne vermieden wird, sei hier auf ein Internetangebot des BSI verwiesen: Unter https://www.bsi-fuer-buerger.de/werden viele Aspekte der IT-Sicherheit in leicht verständlicher Sprache erklärt und Hinweise auf geeignete Sicherheitsmaßnahmen gegeben.
5.1.1 Absicherung des Client-PC gegen Schadcode
Mit Schadcode werden Programme jeglicher Art bezeichnet, die versuchen, bösartige Aktivitäten eines Angreifers auf einem angegriffenen Computer auszuführen. Dazu gehören beispielsweise Viren und Trojaner, aber auch in Office-Dateien können schädliche aktive Elemente (z. B. Makros) enthalten sein. Um sich bzw. den eigenen Computer gegen Schadcode zu schützen, sollten im Wesentlichen zwei Maßnahmen durchgeführt werden:
- Regelmäßige Installation von Aktualisierungen (Updates) für das Betriebssystem und Anwendungssoftware. Häufig macht es Sinn, diese Aktualisierungen automatisch installieren zu lassen, so dass dies nicht vom Anwender getan werden muss. So kann sichergestellt werden, dass Fehlerbehebungen zeitnah zum Einsatz kommen und die Angriffsfläche des Computers deutlich reduziert wird.
- Verwendung eines sogenannten Virenscanners, der zumindest täglich aktualisiert wird. Moderne Schutzsysteme leisten viel mehr als nur eine reine Untersuchung der Programmdateien auf Schadcode und bieten einen umfassenden Schutz.
Wichtig ist jedoch, dass es bei allen technischen Sicherheitsmaßnahmen keinen Ersatz für einen aufmerksamen Anwender gibt, der eingehende Mails und Interaktionen im Web-Browser mit der nötigen Aufmerksamkeit bearbeitet. Dies kann wesentlich effektiver Angriffsversuche aufdecken und das Einnisten von Schadcode vermeiden.
5.1.2 Sichere Nutzung von Web-Applikationen
Das BSI bietet nicht nur unter der o.g. Adresse Informationen zur Sicherheit im Internet, sondern hat unter https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-Reihe_node.htmleine Reihe von Dokumenten bereit. Diese Reihe richtet sich zwar in erster Linie an Behörden, ist aber auch für Unternehmen interessant, die Ihre Internet-Kommunikation unter verschiedensten Aspekten absichern möchten. Im Kontext dieses Dokuments ist das Modul „Sichere Nutzung von Web-Angeboten“ (https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-Web-Client/web_client_node.html) interessant. Jedoch muss wie immer bei der Umsetzung von Sicherheitsmaßnahmen berücksichtigt werden, welche Anforderungen die konkret zu nutzende Web-Applikation hat.
Da der Einstieg in die e-Vergabe normalerweise über die Seite www.evergabe-online.deerfolgt, sollte der Zugriff über einen sicheren Browser erfolgen. Hinweise zur Auswahl und sicheren Konfiguration des Browsers finden sich z. B. unter https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Sicherheitscheck_Webbrowser. Für den Browser sollten neue Versionen zeitnah nach Erscheinen installiert werden. Hierzu sind in vielen Browsern Automatismen vorgesehen, die unbedingt aktiviert werden sollten.
Wichtig ist, dass immer eine verschlüsselte Kommunikation per HTTPS einer ungesicherten Kommunikation via HTTP vorzuziehen ist. Bei allen Web-Angeboten sollte daher die Adresse mit der Zeichenkette „https://“ beginnen, was vom Browser mit einem geschlossenen Schlosssymbol bestätigt wird. Dies gilt insbesondere auch für Zugriffe auf die e-Vergabe, da nur so sichergestellt werden kann, dass man wirklich mit den Servern der e-Vergabe kommuniziert und keinen gefälschten Web-Angeboten krimineller Angreifer aufsitzt.
Die e-Vergabe-Plattform weist sich mit einem DFN-SSL-Zertifikat aus, welches für die Organisation „Informationstechnikzentrum Bund (ITZBund)“ ausgestellt ist. Dieses Zertifikat wird von allen Browsern erkannt. Sollte es dennoch zu einer Zertifikatswarnung des Browsers kommen, sollte die Verbindung abgebrochen und der e-Vergabe-ServiceDesk benachrichtigt werden.
5.2 Nutzung der e-Vergabe-Clients
Für die Nutzung der e-Vergabe-Clients gibt es verschiedene Voraussetzungen, z. B. zu unterstützten Betriebssystemen oder Zertifikaten. Alle hierzu notwendigen Informationen können unter https://www.evergabe-online.info/abgerufen werden. Sie finden dort unter anderem einen FAQ Bereich. Auch werden dort jeweils aktuelle Informationen zur e-Vergabe veröffentlicht, so dass sich ein Besuch dieser Website ohne konkreten Anlass lohnt.
5.2.1 Korrekte Zeiteinstellung
Um Probleme bei der Nutzung der e-Vergabe gerade im Zusammenhang mit Fristen der Vergabeverfahren zu vermeiden, sollte sichergestellt werden, dass die Einstellung von Datum und Uhrzeit korrekt ist. Bei der Abgabe von Teilnahmeanträgen und Angeboten zählt immer die Zeiteinstellung der Server der e-Vergabe-Plattform, die hierfür auf eine automatische Zeitsynchronisation mit einer vertrauenswürdigen Zeitquelle konfiguriert sind. Eine solche automatische Zeitsynchronisation sollte auch für die Computer eingerichtet sein, auf denen die e-Vergabe genutzt wird.
5.2.2 Download und Installation der e-Vergabe-Clients
Alle Anwendungen für Vergabestellen finden Sie zum herunterladen unter https://www.evergabe-online.de/unter dem Punkt „Vergabestellen“. Sie finden dort ebenfalls den Unterpunkt „Anleitungen“. Dort sind die Handbücher und Installationsanleitungen für Sie hinterlegt.
5.2.3 Schutz der Signaturzertifikate
Für die Anmeldung als Sachbearbeiter an den Anwendungen der e-Vergabe wird ein Zertifikat in Form einer Signaturkarte (Qualifizierte Signatur) oder in Dateiform als sogenanntes Soft-Zertifikat (Fortgeschrittene Signatur) benötigt. Bei Signaturkarten ist der zum Zertifikat gehörende Private Schlüssel sicher auf der Karte untergebracht und kann dementsprechend von einem Angreifer nicht entwendet werden. Dennoch empfiehlt es sich, die Smartcard bei Nichtgebrauch aus dem Kartenleser zu entfernen, um jedes Restrisiko eines Missbrauchs auszuschließen.
Bei der Verwendung von fortgeschrittenen Signaturen wird das Signaturzertifikat mitsamt dem zugehörigen privaten Schlüssel in einer Datei bereitgestellt. Diese hat typischerweise die Dateiendung .p12. Während bei Smartcards der Schlüssel nicht entwendet werden kann, besteht bei den sogenannten Soft-Zertifikaten die Gefahr, dass ein Angreifer mittels einer auf den Computer eingeschleusten Schadsoftware die p12-Datei entwendet. Greift er dann noch Tastatureingaben und damit das Passwort der p12-Datei ab, kann er beispielsweise beliebige Dokumente im Namen des bestohlenen digital unterschreiben. Um dieses Risiko zu reduzieren, sollte das Softzertifikat möglichst auf einem mobilen Datenträger (USB-Stick) untergebracht sein, der nur zur Arbeit mit dem e-Vergabe-Client in den Computer gesteckt und sonst sicher aufbewahrt wird.
5.2.4 Verwendung des e-Vergabe-Signaturclients
Auch wenn für die Erstellung und Prüfung digitaler Signaturen für die e-Vergabe beliebige Werkzeuge eingesetzt werden können, empfiehlt es sich, die von der e-Vergabe bereitgestellten Signaturclients zu verwenden. Vorteilhaft ist hier insbesondere die enge Integration, die z. B. dafür sorgt, dass Signaturen an der richtigen Stelle in einer Form aufgebracht werden, die eine problemlose Weiterverarbeitung der signierten Dokumente ermöglicht. Zudem wurde bei der Auswahl des zugrundeliegenden Signaturtools darauf geachtet, dass alle gesetzlichen Vorgaben eingehalten werden. Zudem wird durch die komfortable Integration der Signatur-Funktionen in die e-Vergabe-Clients die Wahrscheinlichkeit von Fehlern bei der Abgabe von signierten Dokumenten verringert.
Grundsätzlich gilt für die Verwendung von digitalen Signaturen, dass sie in geeigneter Weise überprüft werden müssen. Eine rein optische Prüfung der visuellen Darstellung einer Signatur innerhalb des PDF-Dokuments lediglich ein Indiz auf die Auftragung einer Signatur und kann die Prüfung mit dem Signaturclient keinesfalls ersetzen! Im Handbuch zum Signaturclient wird die Prüfung im Detail beschrieben.
6 Support
Bei technischen Fragen (keine Inhaltlichen) können Sie uns über das Kontaktformular oder innerhalb der Geschäftszeiten unter folgenden Kontaktdaten erreichen:
ticket@bescha.bund.de oder unter der Telefonnummer: 0228 99 610-1234 erreichen.
Geschäftszeiten:
Montag bis Donnerstag: 08:00 - 16:00 Uhr.
Freitag von 08:00 - 14:00 Uhr.